Mandrake
Истраживачи Инфосец-а су открили врхунску кампању која циља на кориснике Андроид-а који се налазе у Аустралији помоћу алата под називом Мандраке . Наравно, сајбер преваранти који стоје иза алата за хаковање Мандраке могу изабрати да промене свој фокус и циљају кориснике са друге локације у будућим кампањама. Малвер Мандраке се први пут појавио 2016. Откако су аналитичари малвера уочили претњу Мандраке, његови креатори уводе редовна ажурирања. Креатори претње Мандраке су додали нове функције, оптимизовали старе, уклонили непотребне модуле и генерално побољшали алатку за хаковање како би осигурали да остаје веома моћна.
Преглед садржаја
Mandrake прикупља осетљиве податке са заражених уређаја
Малвер Мандраке може се лако дистрибуирати хиљадама и хиљадама корисника . Међутим, његови оператери не користе приступ масовне нежељене поште. Уместо тога, изгледа да пажљиво бирају своје мете. Тренутно је активно само око 500 примерака. Претња Мандраке може се класификовати као шпијунски софтвер, а чини се да је њени аутори постављају само на мете које су већ неко време надгледане .
Ако шпијунски софтвер Мандраке компромитује ваш Андроид уређај, моћи ће да обавља велики број задатака. Пошто је претња Мандраке наведена као шпијунски софтвер, њен циљ је да прикупи важне информације од циљаних домаћина. Вероватно је да шпијунски софтвер Мандраке омогућава својим оператерима да се дочепају корисника:
- Акредитиве за пријављивање.
- Листа контаката.
- Слике и видео записи сачувани у њиховој галерији.
- Информације о банковном рачуну.
- Подаци о плаћању.
- Лични разговори
Имајући у виду широк спектар информација које шпијунски софтвер Мандраке прикупља, вероватно је да га његови оператери користе и за операције уцењивања и за кампање финансијске преваре.
Пошто се чини да нападачи приступају сваком циљаном кориснику различито, вероватно је да се жртве бирају веома пажљиво. Вероватно је да кампању Мандраке спроводи високо квалификована и веома искусна група сајбер криминалаца који тачно знају шта раде. Уверите се да је ваш Андроид уређај заштићен оригиналном, реномираном антивирусном апликацијом.
Еволвед Мандраке Мобиле Малвер циља Андроид кориснике
Нова итерација веома софистицираног Андроид шпијунског софтвера , Мандраке, откривена је како вреба у пет апликација у Гоогле Плаи продавници. Овај шпијунски софтвер је успео да остане неоткривен две године.
Прикривена инфилтрација: апликације и њихов домет
Пет заражених апликација преузето је више од 32.000 пута пре него што су уклоњене из Гоогле Плаи продавнице. Већина ових преузимања потиче из земаља укључујући Канаду, Немачку, Италију, Мексико, Шпанију, Перу и УК
Напредне тактике избегавања
Нови узорци Мандраке садржали су напредне слојеве техника замагљивања и избегавања:
-
- Премештање злонамерне функционалности у прикривене изворне библиотеке
- Коришћење закачења сертификата за безбедну комуникацију са командом и контролом (Ц2).
- Извођење бројних тестова да би се открило да ли је малвер покренут на роот-ованом уређају или у емулираном окружењу
Анти-аналитске технике
Мандраке-ове ажуриране варијанте су користиле ОЛЛВМ (Обфусцатион ЛЛВМ) да би сакриле своју главну функционалност. Поред тога, они су укључили различите технике избегавања и антианализе како би спречили откривање од стране аналитичара малвера.
Заражене апликације
Пет апликација за које је откривено да садрже шпијунски софтвер Мандраке су:
АирФС (цом.аирфт.фтрнсфр)
Амбер (цом. срп . сгхт )
Астро Екплорер (цом.астро.дсцвр)
Браин Матрик (цом. брнмтх . мтрк )
ЦриптоПулсинг (цом. цриптопулсинг .бровсер)
Вишестепени процес инфекције
Прва фаза: Дроппер
Почетна инфекција почиње капаљком која покреће пуњач. Овај учитавач извршава основну компоненту малвера након што га преузме и дешифрује са Ц2 сервера .
Друга фаза: прикупљање информација
Корисно оптерећење друге фазе прикупља информације о уређају, укључујући:
-
- Статус везе
-
- Инсталиране апликације
-
- Проценат батерије
-
- Екстерна ИП адреса
-
- Тренутна верзија Гоогле Плаи-а
Поред тога, може да обрише основни модул и затражи дозволе за цртање преклапања и покретање у позадини.
Трећа фаза: крађа акредитива и више
Трећа фаза подржава додатне команде, као што су:
Учитавање одређене УРЛ адресе у ВебВиев
Покретање сесије дељења екрана на даљину
Снимање екрана уређаја да бисте украли акредитиве и избацили још малвера
Заобилазећи 'Ограничена подешавања' Андроид 13
Мандраке користи инсталатер пакета заснован на сесији да заобиђе функцију „Ограничена подешавања“ Андроида 13, која забрањује апликацијама са стране да директно траже небезбедне дозволе.
Закључак: претња која се стално развија
Истраживачи описују Мандраке као пријетњу која се динамички развија, непрестано усавршавајући своје технике како би заобишла одбрамбене механизме и избјегла откривање. Ово показује запањујуће вештине актера претњи и наглашава неопходност строже контроле за апликације пре него што се објаве на званичним тржиштима апликација.
